360SRC安全应急响应：从漏洞提交到修复的全过程

引言

在当今数字化时代，网络安全成为企业运营的核心要素之一。360公司始终将安全视为不可逾越的底线，致力于保护用户的隐私和数据安全。为了实现这一目标，360拥有一支专业的安全团队，他们不仅具备卓越的技术能力，还充满正义感和使命感。本文将通过一个真实的安全应急事件，揭示360SRC平台在处理安全问题时的专业流程。

事件背景

2016年5月6日14:23，360SRC平台收到了来自白帽黑客mango提交的一个重要漏洞报告——《奇酷手机任意文件读取》。该漏洞源于FFmpeg库中的一个已知问题，攻击者可以通过一段恶意视频远程获取用户设备上的敏感信息，如通讯录、短信等。

FFmpeg是一个全球领先的多媒体框架，支持多种格式的音频和视频处理。它广泛应用于各类多媒体应用中，包括流媒体服务。其中HLS（HTTP Live Streaming）是苹果公司推出的一种基于HTTP协议的流媒体传输标准，能够有效提高视频播放的质量和稳定性。

初步验证与排查

收到报告后，负责Android系统安全研究的同事立即对漏洞进行了初步验证。尽管最初怀疑可能是误报，但团队依然保持高度警惕，认真对待每一个细节。经过仔细检查，发现虽然官方已发布修复补丁，但在某些情况下，奇酷手机并未及时更新至最新版本。

为确保无误，团队编写了专门的扫描脚本，用于检测是否存在易受攻击的代码段。结果显示，确实存在未被修复的libavdemuxer.so文件，该文件集成了FFmpeg 2.6.1版本，而此版本正好包含所报告的漏洞。

深入分析与修复措施

进一步分析表明，问题根源在于文件管理器APK中的特定模块未能正确处理恶意视频文件，导致其自动触发并泄露用户数据。确认漏洞后，团队迅速采取行动，通知相关部门升级受影响的库文件，并通过OTA方式为用户提供最新的安全更新。

此外，建议所有使用FFmpeg的应用开发者参考以下版本进行升级：

• FFmpeg 2.8.x系列升级至2.8.5或以上；
• FFmpeg 2.7.x系列升级至2.7.5或以上；
• FFmpeg 2.6.x系列升级至2.6.7或以上；
• FFmpeg 2.5.x系列升级至2.5.10或以上；
• 或直接使用FFmpeg 3.0.x版本。

目前，360 APPScan工具已支持对FFmpeg相关漏洞的自动化扫描，帮助开发者快速识别潜在风险。

后续影响评估

为了全面了解此次事件的影响范围，团队对市场上超过12万款应用程序进行了大规模扫描，发现约有6314款应用受到不同程度的影响。值得注意的是，并非所有使用了旧版FFmpeg库的应用都会触发漏洞，具体情况取决于其业务逻辑是否涉及HLS功能。

总结与展望

最后，360SRC对提交漏洞的白帽黑客给予了丰厚奖励，并对其贡献表示衷心感谢。未来，我们将继续加强与安全社区的合作，共同构建更加安全可靠的网络环境。